2. La definizione di privacy
• La privacy è la capacità/diritto di una
persona di impedire che le informazioni
che la riguardano diventino note agli altri,
inclusi organizzazioni ed enti, qualora il
soggetto non abbia volontariamente scelto
di fornirle
3. Le fonti normative UE
• Carta dei diritti fondamentali dell’Ue (diritto
alla protezione, al trattamento in base a
consenso, accesso e rettifica)
• Direttive 95/46/CE e 97/66/CE
(Riguardano principalmente il trattamento
dei dati su internet basati sul consenso e
sulla conoscenza della raccolta degli
stessi)
4. Le fonti normative Ue
Proposta di direttiva aggiornamento 95/46
(codice Reding*):
Obbiettivi
1. Rafforzare i diritti degli utenti della rete
2. Ridurre al minimo indispensabile raccolta e
trattamento dei dati personali
3. Il cittadino deve sapere: chi manipolerà i suoi
dati, in che modo, a che scopo, per quanto
tempo e disporre del “diritto all’oblio”
*Commissario Europeo alla Giustizia
5. Il diritto all’oblio
• Chiunque ha il diritto di ottenere la rettifica
o l’aggiornamento dei propri dati personali
inesatti o non aggiornati, oppure la
cancellazione di informazioni trattate
violando la legge (diritto
dell’autodeterminazione informativa)
6. Le fonti normative italiane
• Legge 547/93 (Introduzione del concetto
di frode informatica)
• Legge n°675 del 1996 (Riconoscimento
sul diritto del singolo sui propri dai
personali e del loro trattamento)
• Dlgs 196 del 2003 (Codice in materia di
dati personali che abroga la 675 ma ne
amplia i confini)
7. Privacy e web
• Il principale impatto che la diffusione del
web e delle sue applicazioni ha avuto sulla
privacy è il forte legame con la sicurezza
degli apparati informatici
• La sicurezza informatica, cioè la tutela dei
sistemi da potenziali rischi e/o violazioni
dei dati sensibili custoditi negli archivi
digitali è diventata la condizione
necessaria per la protezione della privacy
8. Cosa deve garantire la sicurezza
• La RISERVATEZZA dei dati (cioè la riduzione
del rischio che si possa accedere alle
informazioni senza autorizzazione)
• L’INTEGRITA’ dei dati (cioè la riduzione del
rischio che possano essere modificati i cancellati
da chi non è autorizzato)
• La DISPONIBILITA’ (cioè la riduzione del rischio
che non si possa accedere alle info a causa di
interventi di terzi)
9. I dati personali
Dati SENSIBILI:
• Razza
• Religione
• Politica
• Salute
• Vita sessuale
• Interessi
• Relazioni sociali
Dati SEMISENSIBILI:
• Tutti i dati la cui diffusione
può causare un danno
all’interessato
Dati COMUNI:
• Consentono
l’individuazione di una
persona fisica o giuridica
Dati GIUDIZIARI
10. I reati contro la privacy
• Violazione, sottrazione o soppressione di email
• Rivelazione di contenuto di email
• Intercettazione di comunicazioni informatiche e
telematiche
• Installazione abusive di apparecchiature per intercettazioni
informatiche
• Falsificazione, alterazione e sottrazione di comunicazioni
informatiche
• Rilevazione di contenuto di documenti segreti
• Accesso non autorizzato a un sito
• Spionaggio informatico
• Frode informatica
11. Gli attacchi alla sicurezza
• SPYWARE, sono software che raccolgono informazioni
sull’attività online dell’utente senza consenso. I dati
raccolti vengono ceduto a società di marketing
• SOCIAL ENGENEERING, vengono estorte informazioni
personali agli utenti ottenendo il rilascio di propri dai
personali
• PHISHING, i siti-copia di banche o finanziarie “catturano”
user e pw di accesso ai veri siti
• COOKIES, piccoli file di testo che raccolgono info sulla
navigazione di un sito. Possono essere utilizzati
impropriamente
• MALWARE, insieme di codici che comprendono worm,
virus, virus, trojan horse
12. Le “armi” degli utenti
• PASSWORD: l’utilizzo di codici
alfanumerici aumenta la sicurezza
• FIREWALL, ANTIVIRUS,
ANTISPYWARE: sempre aggiornati
• COOKIES: è possibile controllarli, limitarli,
cancellarli
• EMAIL: diffidare di quelle provenienti da
utenti sconosciuti, evitare di utilizzare link
in esse contenute
13. Privacy e informazione
Diritto di cronaca, libertà di informazione e tutela
della privacy: un rapporto complesso regolato in
parte dalla normativa vigente in materia di
protezione dei dati, in parte dal codice
deontologico della professione:
• Carta dei Doveri (‘93) e Carta di Treviso (’90)
• Legge 675/96
• Codice deontologico dei giornalisti (OdG e
Garante, ’98)
• Codice di protezione dei dati personali (Dlgs
196/2003)
14. Carta dei doveri e di Treviso
• Tutela i diritti della persona: non si possono
pubblicare notizie sulla vita privata
• Stabilisce l’obbligo dell’anonimato dei minori e di
soggetti deboli regolamentando la loro presenza
in programmi tv
• Obbligo di anonimato per: vittime di violenze
sessuali; membri ps e autorità giudiziaria;
congiunti di protagonisti fatti di cronaca
15. Privacy e informazione:
la legge 675/96
• Dati di salute e vita sessuale devono
essere trattati sulla stampa con il
consenso degli interessati
16. Privacy e informazione:
Il “codice deontologico dei giornalisti”
Il Codice di deontologia relativo al
trattamento dei dati personali è la prima
regolamentazione della privacy relativa
alla professione giornalistica
17. Il concetto di “essenzialità”*
Divulgare una notizia nei dettagli, con
informazioni di dati personali non
contrasta con gli interessi privati se ciò è
indispensabile in ragione della:
• Originalità del fatto;
• Descrizione dei modi particolari in cui è
avvenuto
• Qualificazione dei protagonisti
*Art. 6 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
18. A chi si applica il Codice
• Giornalisti professionisti
• Giornalisti pubblicisti
• Praticanti
• Fotografi (quando la professione anche
occasionale è riconducibile a una
manifestazione del pensiero: le fotografie
in grado di rivelare informazioni relative ad
una persona identificabile sono
considerate alla stregua di dati personali)
19. Garanzie particolari
• Tutela dei dati sensibili
Nel raccogliere dati personali atti a rivelare
origine razziale o etnica, convinzioni
religiose, filosofiche, politiche, adesioni a
partiti, sindacati, associazioni, nonché atti
a rivelare condizioni di salute o la sfera
sessuale, il giornalista è tenuto a garantire
il diritto di informazione su fatti di interesse
pubblico, nel rispetto della essenzialità
dell’informazione
*Art. 5 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
20. Garanzie particolari
• Tutela del domicilio
Sono tutelati il domicilio e altri luoghi di
privata dimora, compresi luoghi di cura,
detenzione e riabilitazione
*Art. 3 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
21. Garanzie particolari
• Persone coinvolte in fatti di cronaca
I giornalisti non devono fornire notizie o
pubblicare immagini o fotografie di soggetti
coinvolti in fatti di cronaca lesive della dignità
della persona, né si devono soffermare su
dettagli di violenza, a meno che ravvisino la
rilevanza sociale della notizia o dell’immagine.
Non si possono produrre immagini di persone in
detenzione con manette o ferri ai polsi
*Art. 8 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
22. Garanzie particolari
• Persone note
La sfera privata delle persone note deve
essere in ogni caso rispettata se le notizie
e i dati non hanno alcun rilievo sul ruolo o
sulla loro vita pubblica
(anche legge 633/41: “Non occorre il consenso
della persona ritratta quando la riproduzione
dell’immagine è giustificata dalla notorietà”)
*Art. 6 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
23. Garanzie particolari
• Persone malate
Deve essere rispettata la dignità, il diritto
alla riservatezza e al decoro personale,
specie nei casi di malattie gravi e
terminali. La pubblicazione di dati analitici
di interesse strettamente clinico è
ammessa nell’ambito del perseguimento
dell’essenzialità dell’informazione
*Art. 10 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
24. Garanzie particolari
• Sfera sessuale
I giornalisti devono astenersi dalla descrizione
delle abitudini sessuali riferite ad una
determinata persona identificata o identificabile.
La pubblicazione è ammessa solo nell’ambito
del perseguimento della essenzialità
dell’informazione e nel rispetto della dignità della
persona se questa riveste una posizione sociale
o pubblica rilevante
*Art.11 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
25. Garanzie particolari
• Minori
1. Vietato pubblicare i nomi (o i dati che li
rendano in qualche modo identificabili) dei
minori coinvolti nei fatti di cronaca
2. Il diritto alla riservatezza del minore è sempre
primario rispetto al diritto di critica e di cronaca
3. La tutela dei minori si estende anche alle
immagini
*Art. 7 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
26. Adempimenti del giornalista
• Informativa
Il giornalista che raccoglie notizie è tenuto
a rendere note la propria identità, la
propria professione e la finalità della
raccolta, salvo che ciò comporti rischi per
la sua incolumità, o renda altrimenti
impossibile l’esercizio della sua funzione
informativa
*Art. 2 del Codice di deontologia relativo al trattamento dei dati personali
nell’esercizio dell’attività giornalistica (1998)
27. Adempimenti del giornalista
• Banche dati di uso redazionale
L’esistenza di tali banche dati deve essere
resa nota al pubblico dalle imprese
editoriali che devono anche indicare tra i
dati della gerenza il responsabile del
trattamento
28. Adempimenti del giornalista
• Archivi personali dei giornalisti
Sono tutelati, per quanto concerne le fonti
delle notizie, ai sensi dell’art. 2 legge
69/1963 sull”ordinamento della
professione giornalistica” e dall’art. 138
del Codice sulla privacy. Il giornalista può
conservare i dati raccolti per tutto il tempo
necessario al perseguimento delle finalità
proprie della sua professione
29. La privacy e il “nuovo mondo”
“La privacy? E’ una preoccupazione del
vecchio mondo. Un problema superato, i
cui connotati sono stati superati dalla
tecnologia”*
* Evan Williams, cofondatore e CEO di Twitter, Davos 2010
30. Tecnologia, società e regole
“Attenti a non mischiare le cose preziose
create dalle nuove tecnologie con tanta
immondizia che c’è in giro. Bisogna
ridisegnare l’interazione tra macchina e
uomo, studiando l’impatto antropologico e
sociologico del web, analizzare come le
reti cambiano il comportamento della
gente e regolarsi di conseguenza”*
*Tim Berners-Lee, Davos, 2010
31. La “società della sorveglianza”
• Televisione
• Cellulare
• Computer
• Sistemi di sorveglianza
• Dati di traffico telefonico e
informatico
• Localizzazione
• Dati genetici e biometrici
• Carte di credito e tessere
di fidelizzazione
• Etichette intelligenti
• Tv interattiva
• Banche dati…
ENORMI OPPORTUNITA’ MAGGIORI RISCHI
32. La specificità di Internet
• Raccolta
• Incrocio
• Scambio
• Archiviazione
• Maggiore difficoltà del
controllo della qualità
della informazione
• Cancellazione e
aggiornamento dei dati
devono tenere conto dei
diversi luoghi virtuali in
cui le informazioni
compaiono (sito, copia
cache di una pagina, link
a un risultato di ricerca)
Il web accresce
la possibilità di:
33. Privacy e social network
norme e accessibilità
• Presente un elenco
di consigli e
raccomandazioni. Il
regolamento solo alla
fine della lista in un
link ipertestuale
• Informativa sulla
privacy aggiornata
all11/03/2009, il sito
aderisce allo US Safe
Harbor: un link riporta
al testo, in inglese
Fonte: Il Sole 24 Ore
34. Privacy e social network
norme e accessibilità
• Link “privacy” in fondo
all’home page. Testi in
italiano con traduzione
automatica dall’inglese.
Vengono registrati:
indirizzo ip, browser,
sito di provenienza,
pagine visitate, keyword
impiegate, interazione
con banner
• C’è un riferimento
esplicito alla normativa
italiana. Si citano i diritti
dell’utente e la possibilità
di ottenere maggiori
informazioni su modalità
di raccolta e utilizzo dei
dati
Fonte: Il Sole 24 Ore
35. Privacy e social network
Trasparenza delle informazioni
• La normativa sulla
privacy è un’arbitraria e
sibillina regolamentazione
dal parte del network di
come verranno trattati i
dati anche da soggetti
terzi non meglio
identificati
• Le regole su privacy,
copyright e
community sono
chiare e consultabili
nel menù “Norme”. I
dati per la
registrazione
possono essere
associati all’account
per la
personalizzazione
automatica del sito
Fonte: Il Sole 24 Ore
36. Privacy e social network
Trasparenza delle informazioni
• Nel testo in inglese si
specifica che la diffusione
dei dati dell’utilizzatore
non si limita ai “tweet” da
lui stesso inviati, ma si
estende alle liste
promosse, alle persone
con cui intrattiene rapporti
ecc.
• Il network si riserva di
modificare le regole sulla
privacy ma segnala i
diversi modi in cui
segnalerà le variazioni
agli utenti (in inglese)
Fonte: Il Sole 24 Ore
37. Privacy e social network
Il diritto all’oblio
• E’ possibile
cancellarsi dal
network, ma: “se
disattivi il tuo account,
nessun utente potrà
vederlo, ma non verrà
eliminato. Salveremo
le informazioni
presenti sul tuo
profilo”
• L’uso del sito è libero
e senza registrazione
che è necessaria solo
se si vuole usufruire
di determinati servizi
Fonte: Il Sole 24 Ore
38. Privacy e social network
Il diritto all’oblio
• Il network dichiara di
condividere le
informazioni personali dei
propri utenti con soggetti
terzi (senza specificare
né “chi”, né “cosa”). Foro
di competenza la Contea
di San Francisco
• L’utente può richiedere
con una mail l’elenco dei
soggetti terzi titolari di
trattamenti autonomi
connessi a quelli svolti da
Yahoo. Yahoo non
concede né condivide
info personali che
permettono
l’identificazione dei propri
utenti
Fonte: Il Sole 24 Ore
39. Privacy e motori
• La richiesta di rettifica, aggiornamento e trascrizione dei
dati avviene senza problemi sui siti “sorgente” della
informazione, ma NON sono sufficienti a tutelare i diritti
dell’interessato
• Le copie cache generate da Google per l’indicizzazione
di pagine web possono trattenere i dati originari, seppure
cancellati sul sito “sorgente” (violando di fatto la
normativa italiana ed europea)
La tutela dei dati personali su internet è messa in crisi proprio
dalla caratteristica principale della rete, la sua dimensione sovrannazionale
40. Un case history di Google
I FATTI
• 8 settembre 2006, Google Video pubblica le immagini di
tre minorenni che si accaniscono contro un coetaneo
autistico umiliato dopo un episodio di incontinenza
• I tre minorenni sono gli autori del video e dell’uploading
dello stesso
• Il video rimane online due mesi, con 5500 contatti e 29°
in classifica dei più visti
• I tre autori vengono condannati per diffamazione e
svolgono lavori sociali presso la stessa comunità
(Vividown) della vittima a Torino
• 24 Febbraio 2010: tre manager europei di Google
vengono condannati a 6 mesi di reclusione per illecito
trattamento dei dati sanitari, ma vengono assolti
dall’accusa di diffamazione
41. LA SENTENZA E LE MOTIVAZIONI
• Nella sentenza, a Google viene contestata non tanto la
mancata “censura preventiva” sul video, ma il mancato
avviso a tutti gli uploader dell’informativa sulla privacy e
dei doveri di chi tratta dati sanitari altrui
• Nelle motivazioni: Google è accusata di aver trattato “ai
fini di trarne profitto” dati personali di un minorenne
disabile
• Google avrebbe deliberatamente rinunciato ad ogni
controllo, anche affidato alla responsabilità dello stesso
utente, per non scoraggiare la crescita del sito
Un case history di Google
42. LE REAZIONI
Google:
1) “Questa condanna attacca i principi stessi sui cui si basa
internet. Se questi principi non venissero rispettati, il web
così come lo conosciamo cesserebbe di esistere e
sparirebbero molti dei benefici economici, sociali, politici,
economici e tecnologici che porta con sé”.
2) Su Google video non c’erano messaggi pubblicitari , e
nessuno vuole guadagnare con video disgustosi e
nessun investitore si sentirebbe di investire soldi su un
contenuto come quello
Un case history di Google
N.B.: Alla fine del 2008, Google, Yahoo e Microsoft hanno costituito con le
associazioni dei diritti civili, la Global Network Initiative, un organismo per
definire i principi a cui attenersi sul web per coniugare libertà di espressione
e tutela della privacy
43. LE REAZIONI: PERCHE’ SI’
• Se internet è un editore universale che fa
business con la diffusione delle
informazioni, di qualunque tipo, e la
raccolta con altrettanta diffusione della
pubblicità, non si capisce perché non
debba essere regolamentato. La legge
sulla privacy vale per un giornale e non
per il web?
Un case history di Google
44. LE REAZIONI: PERCHE’ NO
• L’intervento dei giudici è un pericoloso
precedente: per la prima volta in Europa e in un
Paese occidentale è stato stabilito che una
società internet e i suoi manager possono
essere ritenuti legalmente responsabili dei
contenuti inseriti da terze parti (contrariamente
al decreto 70/2003)*
• Google viene trattata alla stregua di un editore,
ma non è un editore: non confeziona e non
impagina, ma fornisce strumenti perché
produttore e fruitore di contenuti possano
incontrarsi**
Un case history di Google
*Alessandro Plateroti, Il Sole 24 Ore, 25/02/2010
**Antonio Pilati, commissario Antitrust (Corriere della sera, 25/02/2010)
45. I Garanti contro Google Buzz
Cos’è e come funziona Google Buzz
E’ un nuovo servizio del portale, un’applicazione
legata all’uso della posta Gmail. Googel ha
assegnato a ogni utente di Buzz una rete di
amici ricavati dalle persone con cui l’utente
comunica più spesso con la posta. La posta da
one-to-one diventa social network, senza che né
utenti né “amici” siano informati sull’uso dei dati
personali
46. • I presidenti delle Autorità Garanti della
protezione dei dati di Italia, Francia, Germania,
Irlanda, Israele, Olanda, Nuova Zelanda,
Spagna, Gran Bretagna e Canada hanno scritto
una lettera a Google denunciando la “grave
mancanza di riguardo per regole e norme
fondamentali in materia di privacy”: sarebbe
stato violato il principio fondamentale che
“spetta alle persone controllare l’uso dei propri
dati personali”
I Garanti contro Google Buzz